CVE-2020-26262

**Nome do software vulnerável e versões afetadas:

Versões do Coturn anteriores à 4.5.2

Descrição:

O problema está relacionado à validação incorreta de entradas no Coturn, uma implementação gratuita e de código aberto dos servidores TURN e STUN. Ao enviar uma solicitação CONNECT com o valor XOR-PEER-ADDRESS igual a 0.0.0.0, um usuário mal-intencionado pode retransmitir pacotes para a interface de loopback, contornando a proteção de controle de acesso padrão. Isso pode ser feito mesmo quando o Coturn está escutando em IPv6, usando [::1] ou [::] como endereço do par. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para versões do Coturn anteriores à 4.5.2, atualize para a versão 4.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere negar os endereços no bloco de endereços 0.0.0.0/8, [::1] e [::] por padrão, a menos que --allow-loopback-peers tenha sido especificado. Além disso, os administradores podem especificar --denied-peer-ip=0.0.0.0 (ou similar) para impedir que usuários mal-intencionados retransmitam pacotes para a interface de loopback.